شرکت مایکروسافت (Microsoft) بهصورت اضطراری اقدام به عرضه بهروزرسانی برای رفع یک آسیبپذیری روز-صفر (Zero-day) با شدت بالا در مجموعه Microsoft Office کرده است؛ ضعفی که طبق تایید رسمی این شرکت، پیش از انتشار وصلهها بهطور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری که با شناسه CVE-2026-21509 شناخته میشود، از نوع «دور زدن قابلیتهای امنیتی» بوده و نسخههای متعددی از مجموعه نرمافزاری Office را تحت تأثیر قرار میدهد.
مایکروسافت اعلام کرده است که کاربران Office 2021 و نسخههای جدیدتر، از طریق یک تغییر در سمت سرویس (Service-side Change) بهطور خودکار در برابر این نقص محافظت میشوند؛ با این حال، برای اعمال کامل این حفاظت لازم است برنامههای Office یکبار بسته و مجدداً اجرا شوند.
در مقابل، وصلههای امنیتی برای Office 2016 و Office 2019 هنوز منتشر نشدهاند. مایکروسافت وعده داده است که این بهروزرسانیها «در اسرع وقت» در دسترس قرار خواهند گرفت.
بر اساس توضیحات مایکروسافت، این نقص به مهاجم اجازه میدهد با اتکا به ورودیهای غیرقابل اعتماد، یکی از سازوکارهای امنیتی Office را بهصورت محلی دور بزند. سناریوی حمله مستلزم ارسال یک فایل مخرب Office به قربانی و ترغیب او به باز کردن فایل است.
این آسیبپذیری بهطور خاص راهکارهای کاهش خطر مربوط به OLE و کنترلهای COM/OLE را که برای محافظت از کاربران در برابر اجزای آسیبپذیر طراحی شدهاند، دور میزند.
علاوه بر انتشار بهروزرسانی، مایکروسافت مجموعهای از اقدامات کاهشی مبتنی بر ویرایش Registry نیز ارائه کرده است. این اقدامات میتوانند شدت سوءاستفاده را کاهش دهند، هرچند جایگزین وصله رسمی محسوب نمیشوند. کاربران و مدیران فناوری اطلاعات باید توجه داشته باشند که هرگونه تغییر در رجیستری، در صورت انجام نادرست، میتواند باعث ناپایداری سیستم شود.
مایکروسافت اعلام کرده است که Microsoft Defender هماکنون قابلیت شناسایی و مسدودسازی تلاشها برای سوءاستفاده از این آسیبپذیری را دارد. همچنین فعال بودن حالت پیشفرض Protected View میتواند یک لایه حفاظتی اضافه در برابر فایلهای مخرب دریافتشده از اینترنت ایجاد کند.
این شرکت بار دیگر بر رعایت اصول پایه امنیتی تأکید کرده و از کاربران خواسته است در دانلود فایلها از منابع ناشناس و فعالسازی قابلیت ویرایش آنها، نهایت دقت را داشته باشند.
توضیحات فنی بیشتر در لینک زیر قابل دسترس و مطالعه است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509